Transações e Complaens → Mapa regulatório dos mercados iGaming

Mapa regulatório dos mercados iGaming

1) Por que precisa de um cartão regulatório

O trabalho em vários mercados se baseia na equiparabilidade e relevância dos requisitos. O mapa é um diretório único de países com campos normalizados: tipo de licença, requisitos KYC/AML, restrições RG, regras de publicidade/afiliados, métodos de pagamento, modelo fiscal, relatórios, provedores e «linhas vermelhas» locais.

Objetivos:

Acelerar go-/no-go e priorizar os países.
Simplifique provedores on-boarding, publicidade e pagamentos sob normas locais.
Reduzir os riscos de penalidade/reputação e o custo da complacência.
Dar Ops/Compliance uma única fonte de verdade (SSOT).

2) Taxonomia de campos (que registramos em cada país)

Metadados básicos

País/região, status de mercado (regulado/cinza/proibido), vertical disponível (casino, live, betting, poker, lotto).
Modelo de logon: licença local/.com restrita/parceria com o titular local.

Licenciamento e supervisão

Regulador (s), tipos de licenças (B2C/B2B/sub-categoria), requisitos de presença local.
Procedimentos de auditoria (técnica, financeira, RNG) e periodicidade.

KYC/AML

Verificação básica (identity, address), desencadeadores EDD, verificação de RER/sanções, datas de armazenamento de dados.
Regras de fonte de fundos, limitação velocity e escalação.

Responsible Gaming (RG)

Restrições de idade, limites de depósito/perda/tempo, auto-exclusão, cooling-off, registros locais.

Publicidade e afiliações

Canais/slots temporários/vikides de conteúdo, marcadores de idade, proibições de formulação «sem risco».
Requisitos para afiliados (contratos, divulgação, UTM real, listas negras de práticas).

Pagamentos e provedores

Métodos permitidos (cartões, bancos, carteiras, vouchers), processadores locais, requisitos de charjback/reembolso.
Requisitos para provedores de jogos/pagamentos B2B (licenças, relatórios, SLA).

Dados/Privaciy e segurança

Regime de dados pessoais (GDPR-normas similares/locais).
Localização/transferência, prazo de armazenamento, direitos do sujeito de dados.

Impostos e relatórios

Base de impostos (muitas vezes GGR/turnover/taxas de pagamento), períodos relatados, formatos de descarga.
Finmonitoring, relatórios obrigatórios RG/AML, reportagens de incidente.

Restrições e linhas vermelhas

Práticas de marketing preto/cinza, proibições de mecânicos de bónus, limites de jackpot, restrições noturnas, etc.

3) Modelo de dados (esqueleto)

yaml country: <ISO-2>
market_status: regulated    restricted    prohibited    grey verticals: [casino, live, betting, poker, lotto]
entry_model: local_license    partner. com_limited regulator:
name: <...>
site: <ref>
licenses:
b2c: [<type_a>, <type_b>]
b2b: [<rng>, <platform>, <payment_provider>]
kyc_aml:
base: [id, address, pep_sanctions]
edd_triggers: [amount_spike, multiple_methods, high_risk_geo]
retention_days: <int>
rg:
limits: {deposit: required    optional, loss: required    optional, time: optional}
self_exclusion: registry    internal    none ads_affiliates:
allowed_channels: [tv, ooh, digital, influencer]
disclaimers_required: true    false affiliate_rules: [kyb_required, utm_registry]
payments:
methods_allowed: [cards, bank_transfer, wallet, voucher, cash]
withdrawals_rule: source_to_source    required_checks privacy_security:
regime: gdpr_like    local data_localization: required    not_required tax_reporting:
tax_model: ggr    turnover    mixed reporting: {frequency: monthly    quarterly    realtime, formats: [csv, api]}
providers:
game_providers_requirements: [license, testing, rng]
payment_providers_requirements: [local_presence, settlement_rules]
red_lines: [no_risk_free_claims, minors_targeting_ban]
last_review: YYYY-MM-DD owner: compliance_team

4) Mapa de risco e priorização de países

Eixos de avaliação:

Regulatory Risk (rigidez/incerteza/multas).
Go-To-Market Effort (prazos de licenças/localização/integração).
Unit Economics (carga tributária/comissão de pagamento/ARPU previsão).
Operational Complexity (RG limitações/relatórios/vendedores).

Por exemplo: 'Score = (Economics - Risk - Complexity x Readiness', onde o Readiness é a maturidade dos nossos processos (KYC/AML/RG/Reporting) sob jurisdição específica.

Os clusters de prioridade são A (iniciar 6-9 m), B (preparação), C (pesquisa).

5) Matriz de conformidade (conformance map)

Comparando nossos políticos/controladores com as exigências do país:

Exigência do país	Nossa política/controle	Status	Gap/plano
Auto-exclusão por registro gos	RG-POL-001 / CTRL:RG-EXC-002	Parcial	Integração com o registro, ETA Q1
Relatório de SAR da AML em N dias	AML-POL-003 / SOP:AML-SAR	Correspondente	—
Restrição à criatividade	ADS-POL-002	Necessita de clarificação	Modelos/folha de cheques pelos canais

6) Control-/Policy-as-Code (fragmentos)

Controle de limites RG (incluímos/ajustamos para o país):

yaml control_id: RG-LIM-DAILY judgments: [""] # defaults, redefined in trigger country: loss_today> limit_loss_daily actions:
- block: betting
- notify: player_template_rg_7 overrides:
- when: country==<ISO>
set: {limit_loss_daily: <local_rule>, cool_off_hours: <N>}

Reservas de marketing (disclaimer rulas):

yaml policy_id: ADS-DISCL-001 require:
- on_all_creatives: age_restriction
- on_bonus: wagering_conditions ban:
- wording: ["risk-free", "guaranteed win"]
overrides:
- country: <ISO>
additions: {time_window: "22:00-06:00 ban TV"}

Relatórios (formatos/frequências):

yaml reporting:
frequency: monthly exports: [revenue_by_vertical, rg_cases, aml_sar]
transport: sftp    api overrides:
- country: <ISO>
frequency: realtime exports: [bet_level, session_level]

7) Dashboards de cartão regulatório (o que mostrar)

Market Readiness: status de licenciamento/integração/políticas por país.
Compliance Heatmap: KYC/AML/RG/Ads/Private - «verde/amarelo/vermelho».
Evidence Coverage: proporção de operações com provas corretamente coletadas.
Reporting SLA: Tempo de descarga/erro de esquema/validação.
Risk Register: alto risco por país, plano de flexibilização, ETA.

8) Processos e RACI

SOP: Adicionar ou atualizar um país

1. Avaliação e mapping de exigências → cartão do país.
2. Configuração do Policy-/Controls-as-Code e relatórios.
3. Provedores/pagamentos: due diligence e testes.
4. O Battle-teste no stage → um piloto de 1 a 5% do tráfego.
5. Entrada em operação + monitoramento KPI e alertas regulatórias.

RACI (fatia):

Atividade	R	A	C	I
Modelo de país/cartão	Compliance Analyst	Head of Compliance	Legal, Security	Ops
Configuração de controles	SRE/Platform	Head of Ops	Compliance	Domains
Relatórios	Data/BI	Head of Compliance	Legal	Finance
Publicidade/afiliados	Marketing Compliance	CMO	Legal/Brand	Finance

9) Folhas de cheque da deligence

Um novo país

O regulador e o tipo de licença são permitidos verticalmente.
KYC/AML/RG mapping e overrides em controles.
Ads/Affiliates regras e modelos de reservas.
Privacidade/localização de dados, prazo de armazenamento.
Pagamentos: métodos disponíveis, regras de retorno/conclusão.
Relatórios: formatos, transporte, frequências; Teste de descarga.
Provedores: requisitos e auditorias.
Os riscos/« linhas vermelhas »foram registrados.

Nova afiliação/canal

KYB, contrato, registro UTM, bibliotecas criativas.
Limitações de meta (idade/geo).
Política claim-ov e formulações proibidas.
Mecanismo de suspensão de tráfego em caso de violação.

10) Anti-pattern

«Duas versões da verdade»: tabelas Excel separadas dos controles de prod.
Interpretações locais erradas sem justificativa.
Regras universais de publicidade sem country-overrides.
Falta de armazenamento de evidence e relatórios SLA.
Mapa sem proprietários e revisão regular.

11) Métricas de maturidade

Coverage de países: cartões de países com campos preenchidos ≥ 90%.
Controls Facilitment: proporção de controladores com country-overrides, onde você precisa de ≥ 95%.
Reporting SLA: O tempo de descarga ≥ 98%.
Evidence Completeness: o conjunto de provas preenchido ≥ 98%.
Auditoria Findings TTR - Encerrar as observações ≤ 90 dias.
Invident Leakage: Proporção de violações de marketing/RG → tendência de redução.

12) Integração

Docs-/Policy-/Controls-as-Code: um repositório único com uma lente de revezamento/CI.
CRM/Payments/DWH: country-aware regras, vitrines de relatório.
Observabilidade: Alertas à deriva de conformidade (o controle não funcionou, o relatório não saiu).
Assistente de complacência AI: pesquisa por cartão de país, dicas sobre overrides e rascunhos de relatórios.

13) 30/60/90 - plano de implementação

30 dias (fundações):

Aprovar taxonomia de campos e modelo de cartão de país.
Expandir o repositório «reg-map/» (docs/polices/controls/reports).
Levar 5-7 países-chave para a carteira atual, personalizar overrides básico.
Levantar dashboards Coverage/Heatmap/Reporting SLA.

60 dias (escala):

Adicionar registros de pagamento/publicidade/provedores e ligações.
Ativar armazenamento de evidence para RG/AML/Ads.
Automatizar o teste de exportação de relatórios e validação de esquemas.
Incorporar alertas às «deriva» regulatórias.

90 dias (fixação):

Cobrir 90% dos países alvos, fazer uma auditoria interna do design dos controladores.
Vincular o cartão regulador KPI a OKR (Reporting SLA, Evidence, Auditoria TTR).
Atualizações trimestrais regulares de cartões de países e processos.

14) FAQ

Q: Como manter o mapa atual?
A: Revisões de cartões a cada 90 a 180 dias, lembretes CI por 'last _ review', alertas para inconsistências de relatórios/controladores.

O que fazer com as contradições entre as normas dos países?
A: Aplicar uma norma mais rigorosa ou separar flow de alimentos por geo com overrides individuais.

Como ligar o mapa ao produto?
A: Através do Controls-as-Code: as regras são ativadas por 'country '/' brand '/' vertical' e as vitrines de relatório são automaticamente selecionadas.